Qué tipos de ataques de fuerza bruta hay
Son muchos los ataques que pueden comprometer nuestra seguridad y afectar a los dispositivos, cuentas y servicios que usamos en el día a día. Es importante evitar todo tipo de amenazas, pero especialmente aquellas que pueden afectar directamente a las contraseñas y datos personales. En este artículo vamos a hablar de qué tipos de ataques de fuerza bruta hay y qué podemos hacer para evitarlos.
En qué consiste un ataque de fuerza bruta
Un ataque de fuerza bruta es una estrategia que puede utilizar un pirata informático para robar contraseñas. Es de hecho uno de los métodos más comunes para ello, por lo que estamos ante un problema importante que debemos evitar.
Básicamente consiste en probar una y otra vez múltiples combinaciones hasta dar con la correcta. El objetivo es averiguar cuál es el nombre de usuario y/o la contraseña para acceder a una cuenta de redes sociales, correo electrónico, iniciar sesión en un dispositivo o cualquier servicio que esté protegido por una contraseña.
Existen diferentes herramientas que los ciberdelincuentes utilizan para lograr robar las contraseñas. Esto les permite llevar a cabo esos ataques de fuerza bruta que, como veremos, pueden ser diferentes.
Tipos de ataques de fuerza bruta
Aunque el objetivo es el mismo, la estrategia puede cambiar. Los ataques de fuerza bruta los hay de diferentes tipos y, según sea la circunstancia, el atacante puede utilizar una variedad u otra. No obstante, para todos ellos podemos tener en cuenta medidas de protección.
Ataque de diccionario
Esta es una de las variedades de ataques de fuerza bruta más utilizadas. Como su nombre indica, se basa en el diccionario y las múltiples palabras que existen. Lo que hace la aplicación encargada de averiguar contraseñas es utilizar todas las combinaciones posibles de palabras reales.
Muchos usuarios, de cara a facilitar el inicio de sesión en sus cuentas, utilizan palabras que pueden recordar fácilmente. Esto incluye también nombres y apellidos. De esta forma, con un ataque de diccionario y siempre que se cumplan las condiciones, el tiempo para romper una clave de acceso disminuye considerablemente.
Credential Stuffing
En este caso los atacantes no buscan averiguar una contraseña, ni tampoco un nombre de usuario; lo que buscan es saber dónde pueden utilizarlo, si es que es posible. Se basan en fugas de datos que ocurren en Internet. Por ejemplo si estamos registrados en un foro con un nombre de usuario y contraseña y se filtran esos datos y quedan expuestos.
Lo que hacen es automatizar cientos o miles de inicios de sesión en determinados sitios con esos pares de credenciales. Muchos usuarios utilizan el mismo nombre de usuario e incluso contraseña en más de un lugar. Por ejemplo una red social y también en el correo, una plataforma para ver vídeos en Streaming o en cualquier otro sitio.
Fuerza bruta inversa
Esta variedad de ataque de fuerza bruta va a conocer previamente cuál es la contraseña. Esto ocurre generalmente por filtraciones en Internet. Por ejemplo si un servicio ha tenido algún problema, como podría ser una red social, foro, etc. Las contraseñas de los usuarios quedan expuestas, pero no las credenciales.
Lo que hace el atacante es probar miles y miles de combinaciones, de posibles nombres de usuario, que puedan estar vinculadas a una determinada contraseña que han encontrado. A eso se le conoce como fuerza bruta inversa. El objetivo sigue siendo el mismo: poder acceder a una cuenta de usuario.
Rociado de contraseña
Esto también se conoce como pulverización de contraseñas. Es similar a la fuerza bruta inversa. En este caso el atacante va a tener una serie de nombres de usuario y contraseñas que se han filtrado. Simplemente tiene que ir probando una a una las diferentes combinaciones hasta dar con la correcta.
Por tanto, la fuerza bruta consiste en combinar los miles de nombres de usuario con las miles de contraseñas disponibles. Esto permitirá que, una vez encuentren el par correcto, entren en la cuenta de usuario de la víctima y tengan acceso total.
Cómo protegernos de esta amenaza de seguridad
Hemos visto que existen diferentes tipos de ataques de fuerza bruta que pueden poner en riesgo nuestras contraseñas. Ahora vamos a explicar qué podemos hacer para estar totalmente protegidos y no tener ningún problema de seguridad de este tipo.
Usar contraseñas fuertes
Lo primero y más importante es utilizar claves que sean totalmente fuertes y complejas. Esta es la primera barrera de seguridad para evitar intrusos y por ello debemos cuidar cada detalle y generar contraseñas que realmente nos protejan y sean difíciles de averiguar.
Entonces, ¿qué es una contraseña segura? Tiene que ser totalmente aleatoria y única. Nunca debemos utilizar palabras o datos que nos relacionen, ni tampoco usarla en varios sitios a la vez. Además, esa clave tiene que contener letras (tanto mayúsculas como minúsculas), números y otros símbolos especiales.
Activar la autenticación en dos pasos
Un complemento muy interesante es el de la autenticación en dos pasos. Cada vez son más los servicios en Internet que cuentan con esta característica. Básicamente lo que hacen es agregar una capa extra de seguridad. Un segundo paso que debemos realizar para iniciar sesión.
Si un intruso lograra averiguar la contraseña para iniciar sesión, aun así tendría que poner un segundo paso. Por ejemplo sería recibir un código que nos llega por SMS o por correo electrónico. Esto nos permite autenticarnos en la red.
Evitar exponer información personal
Este consejo es más bien de sentido común. Hemos visto que en ocasiones la fuerza bruta utiliza datos que dejamos expuestos en la red para poder averiguar contraseñas. Aunque teniendo una clave con los requisitos que hemos indicado tendremos mucho ganado, debemos igualmente evitar exponer información personal.
Nos referimos por ejemplo a no dar datos en Internet que puedan quedar disponibles para cualquiera. Datos personales que pongamos por redes sociales, a la hora de escribir en un foro, de poner un comentario en una página web, etc.
En definitiva, los ataques de fuerza bruta son una de las variedades que utilizan los piratas informáticos para robar contraseñas. Hemos explicado en qué consisten y qué tipos puede haber. También hemos dado algunos consejos interesantes para crear buenas contraseñas y evitar este tipo de amenazas.
El artículo Qué tipos de ataques de fuerza bruta hay se publicó en RedesZone.
Powered by WPeMatico